Storbritannias lov om cybersikkerhet og robusthet har som mål å skjerpe reglene for teknologisektoren

Storbritannia har tatt initiativ til å utvide sitt digitale sikkerhetsnett med den formelle introduksjonen av Cyber Security and Resilience Bill i parlamentet.

Forslaget kommer på et tidspunkt hvor angrep på forretningsnettverk, offentlige tjenester og kritisk infrastruktur fortsetter å øke, noe som presser regjeringen til å utvide reguleringsområdet.

Lovforslaget fokuserer på å styrke beskyttelsen på tvers av et bredere spekter av teknologitjenesteleverandører, og tette hull som har blitt mer synlige ettersom organisasjoner er avhengige av eksterne IT-tjenester.

Den skisserer også nye fullmakter, rapporteringsplikter og forebyggende tiltak som skal begrense skader fra nasjonale sikkerhetstrusler og nye risikoer knyttet til kunstig intelligens, spesielt ettersom flere sektorer integrerer avanserte digitale verktøy.

Bredere sikkerhetsoppgaver

Lovforslaget vil utvide eksisterende regler for nettverk og informasjonssystemer til flere teknologiselskaper.

IT-administrasjonsselskaper, tekniske støtteleverandører og cybersikkerhetstjenestefirmaer vil bli underlagt de samme kravene som allerede er pålagt operatører av essensielle tjenester.

Lovgivningen sier at straffer for manglende etterlevelse kan knyttes til årlig omsetning, noe som skaper sterkere insentiver for bedrifter til å oppfylle regulatoriske standarder.

Målet er å sikre at leverandører som vedlikeholder viktige digitale systemer oppfyller en enhetlig sikkerhetsbaseline, redusere svake ledd i forsyningskjedene og forbedre den generelle motstandskraften til sammenkoblede nettverk.

Nye regjeringsfullmakter

Lovgivningen foreslår å gi teknologisekretæren myndighet til å instruere regulatorer og organisasjoner om å iverksette forebyggende tiltak når trusler vurderes å utgjøre nasjonale sikkerhetsrisikoer.

Disse instruksene vil gjelde for hendelser som involverer kritisk infrastruktur og cyberaktivitet med stor påvirkning.

Tiltaket gjenspeiler økende bekymring for statstilknyttede operasjoner rettet mot vestlige nettverk.

Regjeringsrepresentanter sier at lovforslaget er utformet for å bringe Storbritannia nærmere EU-standarder og styrke motstandskraften mot aktører tilknyttet Kina, Iran og Nord-Korea, som alle har vært knyttet til forstyrrende aktivitet.

Finansielle og operasjonelle risikoer

Forskning bestilt av Department for Science, Innovation and Technology anslår gjennomsnittskostnaden for et alvorlig cyberangrep i Storbritannia til £190 000 per hendelse, noe som utgjør omtrent £14,7 milliarder hvert år.

Disse tallene fremhever omfanget av forstyrrelse bedrifter møter når angripere utnytter sårbarheter i nettverk og digitale tjenester.

De utvidede reglene har som mål å forbedre rapporteringsprosesser og responstider, hjelpe organisasjoner med å begrense tap og komme raskere etter brudd, samtidig som de oppmuntrer til mer åpenhet på tvers av berørte sektorer.

Bekjempelse av misbruk av kunstig intelligens

Lovforslaget dekker også nye risikoer knyttet til KI. Den inneholder bestemmelser for å forhindre opprettelse av materiale om seksuelle overgrep mot barn gjennom kunstig intelligens.

For å oppnå dette vil lovgivningen tillate pålitelige organisasjoner som AI-utviklere og veldedige organisasjoner å kjøre kontrollerte tester på AI-modeller.

Formålet er å identifisere og rette sårbarheter før skadelig innhold kan produseres, og legge til et ekstra beskyttelseslag etter hvert som AI-verktøy blir mer avanserte og mye brukt i bedrifter, skoler og offentlige tjenester.